Compartir a través de


Falta un certificado necesario en el dispositivo Android

Cuando un usuario intenta iniciar sesión en la aplicación Portal de empresa en el dispositivo Android administrado por Microsoft Intune, recibe el mensaje de error "No se puede iniciar sesión porque el dispositivo no tiene un certificado necesario".

Causa

El dispositivo del usuario no tiene un certificado o un certificado intermedio necesario para la inscripción o un certificado no se ha instalado correctamente. Siga las secciones siguientes para diagnosticar y resolver el problema.

Solución 1

Es posible que el usuario pueda recuperar el certificado que falta. Pida al usuario que complete los pasos descritos en Instalación del certificado que falta requiere su organización. Si el error persiste, continúe con la solución 2.

Solución 2

Después de escribir sus credenciales corporativas y redirigirse para el inicio de sesión federado, es posible que los usuarios sigan viendo el error de certificado que falta. En este caso, el error puede significar que falta un certificado intermedio del servidor de Servicios de federación de Active Directory (AD FS) (AD FS).

El error de certificado se produce porque los dispositivos Android requieren que los certificados intermedios se incluyan en un hello de SSL Server. Actualmente, una instalación predeterminada del servidor proxy de AD FS o WAP - AD FS proxy envía solo el certificado SSL del servicio AD FS en la respuesta hello del servidor SSL a un saludo de cliente SSL.

Para corregir el problema, importe los certificados en los certificados personales de equipos en el servidor de AD FS o servidores proxy de la siguiente manera:

  1. En los servidores proxy y AD FS, haga clic con el botón derecho en Iniciar>ejecución>de certlm.msc para iniciar la Consola de administración de certificados del equipo local.
  2. Expanda Personal y elija Certificados.
  3. Busque el certificado para la comunicación del servicio de AD FS (un certificado firmado públicamente) y haga doble clic para ver sus propiedades.
  4. Elija la pestaña Ruta de certificación para ver los certificados primarios del certificado.
  5. En cada certificado primario, elija Ver certificado.
  6. Elija Detalles>copiar en el archivo....
  7. Siga las indicaciones del asistente para exportar o guardar la clave pública del certificado primario en la ubicación del archivo que prefiera.
  8. Haga clic con el botón derecho en Importar todas las tareas> de certificados.>
  9. Siga las indicaciones del asistente para importar los certificados primarios a equipo local\Personal\Certificates.
  10. Reinicie los servidores de AD FS.
  11. Repita los pasos anteriores en todos los servidores proxy y AD FS.

Validación de que el certificado se ha instalado correctamente

Los pasos siguientes describen solo uno de los muchos métodos y herramientas que puede usar para validar que el certificado se instaló correctamente.

  1. Vaya a la herramienta Digicert gratuita.
  2. En el cuadro Dirección del servidor, escriba el nombre de dominio completo del servidor de AD FS (por ejemplo, sts.contoso.com) y seleccione COMPROBAR SERVIDOR.

Si el certificado de servidor está instalado correctamente, verá todas las marcas de verificación en los resultados. Si el problema anterior existe, verá una X roja en las secciones Coincidencias de nombre de certificado y el certificado SSL está instalado correctamente en las secciones del informe.

Solución 3

Los usuarios no pueden autenticarse en Portal de empresa, pero pueden autenticarse en Microsoft Authenticator y exploradores web. Este problema se produce si el servidor de AD FS usa un certificado de usuario en lugar de un certificado emitido por una entidad de certificación pública (CA).

Hay dos almacenes de certificados en dispositivos Android:

  • Almacén de certificados de usuario
  • Almacén de certificados del sistema

Mirando en Android 7.0, las aplicaciones omiten los certificados de usuario de forma predeterminada, a menos que las aplicaciones participen explícitamente. Para más información, consulte Cambios en entidades de certificación de confianza en Android Nougat.

Para corregir este problema, use un certificado que se encadena a una CA raíz de confianza pública en el servidor de AD FS. Puede encontrar una lista de entidades de certificación públicas en Android en https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.